Argomenti Guide

Tutti gli argomenti
Guide

Protezione dei dati personali a scuola: cosa si intende. Scarica esempio di regolamento

Di Antonio Fundarò
WhatsApp
Telegram

Il regolamento sulla protezione dei dati personali disciplina, in ciascuna delle scuole, specialmente se lo strumento è ben strutturato, le misure organizzative ed i processi interni di attuazione del Regolamento UE n. 679/2016 (RGPD) ai fini del trattamento di dati personali per finalità istituzionali nell’Istituto.

Ma cosa si intende, nello specifico per funzioni istituzionali? Per funzioni istituzionali si intendono quelle:

  • Previste dalla legge, dal Piano Triennale dell’Offerta Formativa (PTOF), dai regolamenti e da atti amministrativi generali;
  • Esercitate in attuazione di convenzioni, accordi nonché sulla base degli strumenti di programmazione e pianificazione previsti dalla legislazione vigente;
  • Svolte per l’esercizio dell’autonomia organizzativa, amministrativa e finanziaria dell’istituto;
  • In esecuzione di un contratto con i soggetti interessati, qualora stipulato in relazione alle proprie finalità e compiti istituzionali.

Come avviene il trattamento dei dati?

Il titolare garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. Il titolare, nell’ambito delle sue funzioni, gestisce gli archivi e le banche dati rispettando i diritti, le libertà fondamentali e la dignità delle persone, con particolare riferimento alla riservatezza e all’identità personale. Ai fini della tutela dei diritti e delle libertà delle persone fisiche in ordine al trattamento dei dati personali, tutti i processi, inclusi i procedimenti amministrativi di competenza del titolare, vanno gestiti conformemente alle disposizioni del Codice, del RGPD, e del Regolamento, un cui modello, eccezionale, alleghiamo a questo articolo. L’esempio proposto è quello realizzato, magistralmente, dall’Istituto Comprensivo Statale “Crosia Mirto” di Crosia Mirto in provincia di Cosenza guidato con una eccezionale competenza gestionale e organizzativa dal Dirigente Scolastico dott.ssa Rachele Anna Donnici..

Cosa si intende per dati personali

Vengono integralmente recepiti, nell’ordinamento interno del titolare, i principi del RGPD, per effetto dei quali i dati personali sono:

  • Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
  • Raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
  • Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati base del principio di “minimizzazione dei dati”;
  • Esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati base del principio di “esattezza”;
  • Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1 RGPD, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato in base al principio di “limitazione della conservazione”;
  • Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali in base ai principi di “integrità e riservatezza”;
  • Configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità possano essere perseguite mediante dati anonimi o con l’uso di opportune modalità che permettono di identificare l’interessato solo un caso di necessità (“principio di necessità”).
  • Il titolare è competente per il rispetto dei principi sopra declinati, ed è in grado di comprovarlo in base al principio di accountability.

I documenti giuridici

  • Codice in materia di dati personali (D.lgs. n.196/2003);
  • Linee guida e raccomandazioni del Garante;
  • RGPD UE 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
  • Legge 25 ottobre 2017, n. 163 (art.13), recante la delega per l’adeguamento della normativa nazionale alle disposizioni del RGPD (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento
    dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
  • D.lgs. n. 101/2018 di adeguamento della normativa interna al RGPD;
  • Dichiarazioni del gruppo di lavoro articolo 29 sulla protezione dei dati (WP29) – 14/EN;
  • Linee-guida sui responsabili della protezione dei dati (RPD) – WP243 Adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016;
  • Linee-guida sul diritto alla “portabilità dei dati” – WP242 Adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016;
  • Linee-guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno specifico Titolare o Responsabile del trattamento – WP244 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016;
  • Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248 adottate dal Gruppo di lavoro Art. 29 il 4 aprile 2017;
  • Linee guida elaborate dal Gruppo Art. 29 in materia di applicazione e definizione delle sanzioni amministrative – WP253 adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017;
  • Linee guida elaborate dal Gruppo Art. 29 in materia di processi decisionali automatizzati e profilazione – WP251 Adottate dal Gruppo di lavoro Art. 29 il 6 febbraio 2018;
  • Linee guida elaborate dal Gruppo Art. 29 in materia di notifica delle violazioni di dati personali (data breach notification) – WP250 Adottate dal Gruppo di lavoro Art. 29 il 6 febbraio 2018;
  • Parere del WP29 sulla limitazione della finalità – 13/EN WP 203;
  • Norme internazionali relative alla Protezione dei Dati Personali;
  • Regolamenti interni, approvati dai titolari e/o dai responsabili.

Regolamento Protezione-Dati

WhatsApp
Telegram

Corsi

Tutti i corsi

Orizzonte Scuola PLUS

Scopri tutti i contenuti PLUS
Iscriviti alla newsletter di OrizzonteScuola

Ricevi ogni sera nella tua casella di posta una e-mail con tutti gli aggiornamenti del network di orizzontescuola.it

Altri contenuti che potrebbero interessarti

MESSAGGIO SPONSORIZZATO

Abilitazione docenti 60, 30 e 36 CFU. Decreti pubblicati, come si accede? Webinar informativo Eurosofia venerdì 26 aprile